Progress 软件公司发布安全公告，针对其Telerik Report Server工具中的四个漏洞发出警告。这些漏洞影响了Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本，攻击者可利用这些漏洞执行凭证填充攻击、暴力破解攻击、拒绝服务攻击，甚至执行任意代码。其中最严重的漏洞CVE-2024-8015的CVSS评分高达9.1，攻击者可完全控制报告服务器。Progress Software 已敦促所有用户立即更新至最新版本，并提供临时缓解措施，以应对无法立即更新的用户。

🤔 **凭证填充攻击:** 由于缺乏登录尝试限制 (CVE-2024-7292)，攻击者可以利用该漏洞进行凭证填充攻击，尝试使用已知或泄露的用户名和密码组合登录系统。

🤬 **暴力破解攻击:** 由于密码要求较弱 (CVE-2024-7293)，攻击者可以利用该漏洞进行暴力破解攻击，通过尝试大量不同的密码组合来猜测用户的密码。

💀 **拒绝服务攻击:** 由于缺乏速率限制 (CVE-2024-7294)，攻击者可以利用该漏洞发起拒绝服务攻击，通过向服务器发送大量请求，使其无法正常响应合法用户。

😈 **任意代码执行:** 通过不安全的类型解析漏洞 (CVE-2024-8015)，攻击者可以利用该漏洞在服务器上执行任意代码，从而完全控制报告服务器。该漏洞的CVSS评分高达9.1，是最为严重的漏洞。

🛡️ **缓解措施:** 对于无法立即更新至最新版本的用户，Progress Software 建议采取临时缓解措施，例如将报告服务器的应用程序池用户更改为权限有限的用户，以限制攻击者可能造成的潜在破坏。

Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞，Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。這些漏洞可讓攻擊者执行凭证填充攻击： 利用缺乏登录尝试限制 (CVE-2024-7292)。对用户密码进行暴力破解攻击： 由于密码要求较弱 (CVE-2024-7293)。发起拒绝服务 (DoS) 攻击： 在没有速率限制的情况下针对匿名端点进行攻击 (CVE-2024-7294)。在服务器上执行任意代码： 通过不安全的类型解析漏洞 (CVE-2024-8015)。这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1，攻击者可完全控制报告服务器。Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。Ezoic對於無法立即更新至修補版本的用戶，Progress Software 建議採取以下臨時緩解措施，以應對 CVE-2024-8015：将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。